Deconnexions frequentes mais qui se retablissent

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

Messagepar svart » 25 Sep 2003 14:15

J'ai un petit souci : <BR> <BR>ma config MNF fonctionne (DNS Cache + Squid + parefeu + Prelude + Snort) mais fréquemment, la connexion client LAN / firewall s'interromp. Je perds la connexion à l'interface Web, je perds également la liaison SSH, et les requêtes HTTP ne passent pas. <BR> <BR>Il me suffit d'attendre quelques minutes pour que tout revienne dans l'autre. <BR> <BR>Le dysfonctionnement se manifeste parfois par la disparition tout d'abord de pas mal de lien images sur les pages web, comme si une partie des hits ne pouvaient pas transiter, et puis ce que je viens de décrire arrive. <BR> <BR>Ca vient de se passer tandis que je tapais ce message ! <BR> <BR>Ca vous dit quelque chose ? <BR> <BR> <IMG SRC="images/smiles/icon_confused.gif">
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
Avatar de l’utilisateur
svart
Vice-Amiral
Vice-Amiral
 
Messages: 853
Inscrit le: 04 Sep 2003 00:00
Localisation: Finistère

Messagepar svart » 25 Sep 2003 14:28

J'ai trouvé des choses étranges dans le journal systeme : <BR> <BR>Sep 25 <BR> <BR>14:22:34 snort spp_portscan: PORTSCAN DETECTED from 192.168.1.1 (THRESHOLD 5 connections exceeded in 5 seconds) <BR> <BR>Sep 25 <BR> <BR>14:23:00 CROND (root) CMD ( /usr/share/msec/promisc_check.sh) <BR> <BR>Sep 25 <BR> <BR>14:23:02 snort spp_portscan: portscan status from 192.168.1.1: 9 connections across 9 hosts: TCP(9), UDP(0) <BR> <BR>Sep 25 <BR> <BR>14:23:47 snort spp_portscan: portscan status from 192.168.1.1: 1 connections across 1 hosts: TCP(1), UDP(0) <BR> <BR>Sep 25 <BR> <BR>14:20:49 dhcpd dhcpd shutdown failed <BR> <BR>Sep 25 <BR> <BR>14:20:50 ipsec_setup Stopping FreeS/WAN IPsec... <BR> <BR>Sep 25 <BR> <BR>14:20:50 ipsec_setup stop ordered, but IPsec does not appear to be running! <BR> <BR>Sep 25 <BR> <BR>14:20:50 ipsec_setup doing cleanup anyway... <BR> <BR>Sep 25 <BR> <BR>14:20:50 modprobe modprobe: Can't locate module net-pf-15 <BR> <BR>Sep 25 <BR> <BR>14:20:50 ipsec_setup /usr/lib/ipsec/eroute: Trouble openning PF_KEY family socket with error: KLIPS not loaded or enabled. <BR> <BR> <BR>Je vais peut-etre redémarrer... <IMG SRC="images/smiles/icon_confused.gif">
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
Avatar de l’utilisateur
svart
Vice-Amiral
Vice-Amiral
 
Messages: 853
Inscrit le: 04 Sep 2003 00:00
Localisation: Finistère

Messagepar svart » 25 Sep 2003 14:46

Le log système <BR> <BR>ep 25 14:38:00 firewall CROND[2903]: (root) CMD ( /usr/share/msec/promisc_check.sh) <BR>Sep 25 14:39:00 firewall CROND[2909]: (root) CMD ( /usr/share/msec/promisc_check.sh) <BR>Sep 25 14:39:03 firewall kernel: Shorewall:lan2fw:REJECT:IN=eth0 OUT= MAC=00:10:b5:b6:21:bc:00:00:e8:6c:f0:f7:08:00 SRC=192.168.0.2 DST=192.168.0.6 LEN=83 TOS=0x00 PREC=0x00 TTL=128 ID=46083 PROTO=UDP SPT=1071 DPT=53 LEN=63 <BR>Sep 25 14:39:05 firewall kernel: Shorewall:lan2wan:REJECT:IN=eth0 OUT=eth1 SRC=192.168.0.2 DST=195.68.0.1 LEN=73 TOS=0x00 PREC=0x00 TTL=127 ID=47107 PROTO=UDP SPT=1072 DPT=53 LEN=53 <BR>Sep 25 14:39:14 firewall kernel: Shorewall:fw2wan:ACCEPT:IN= OUT=eth1 SRC=192.168.1.1 DST=195.140.140.28 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=TCP SPT=32796 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0 <BR>Sep 25 14:40:00 firewall CROND[2914]: (root) CMD ( /usr/share/msec/promisc_check.sh) <BR>Sep 25 14:40:00 firewall CROND[2917]: (root) CMD ( /usr/sbin/monitoring.pl) <BR>Sep 25 14:41:00 firewall CROND[2926]: (root) CMD ( /usr/share/msec/promisc_check.sh) <BR>Sep 25 14:42:00 firewall CROND[2931]: (root) CMD ( /usr/share/msec/promisc_check.sh) <BR>Sep 25 14:43:00 firewall CROND[2942]: (root) CMD ( /usr/share/msec/promisc_check.sh) <BR> <BR>Si quelqu'un avait comme un bout de piste, une explication... Ch'ferais tout ce que vous voudrez ! <BR> <BR> <IMG SRC="images/smiles/icon_eek.gif">
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
Avatar de l’utilisateur
svart
Vice-Amiral
Vice-Amiral
 
Messages: 853
Inscrit le: 04 Sep 2003 00:00
Localisation: Finistère

Messagepar Wizard_Spike » 25 Sep 2003 16:55

hum...honnêtement je sais pas, mais as-tu essayé de simplifier un peu? Enlever le squid, le snort et le prelude par exemple, temporairement bien sûr!! juste pour voir si ça ne serait pas un pb lié à l'un d'eux (à cause d'une mauvaise config ou autres) <BR> <BR>Le truc le plus étrange à mon gout c'est ça: <BR>"14:20:49 dhcpd dhcpd shutdown failed " <BR>"14:20:50 ipsec_setup Stopping FreeS/WAN IPsec... " <BR> <BR>Manifestement, tu n'a pas de vpn (puisque le message suivant est <BR>"14:20:50 ipsec_setup stop ordered, but IPsec does not appear to be running! " <BR> <BR>Mais pourtant quelque chose le stope. Et ton dhcp également! c'est étrange quand même... <BR>serait-ce dû à au rafraichissement du DHCP que l'on peut configurer? (configuré en standard sur 21600 sec) <BR>Parce que si le DHCP redonne une nouvelle adresse ip à ta machine du LAN, il est normal que les services redémarrent pour prendre en compte la nouvelle adresse ip... Mais pourtant, moi qui ai le DHCP configuré en standard, je n'ai pas ce problème... <BR> <BR>c'est un peu disparate et peut-être pas très efficace comme aide, je suis désolé, mais j'essaye de comprendre d'où cela peut provenir opur aider un peu.... <IMG SRC="images/smiles/icon_find.gif"> <BR><BR><font size=-2></font>
Linux c'est dur!! pfiou....
Avatar de l’utilisateur
Wizard_Spike
Aspirant
Aspirant
 
Messages: 125
Inscrit le: 20 Août 2003 00:00

Messagepar svart » 25 Sep 2003 17:10

J'ai le sentiment que ça vient d'un souci DNS... <BR> <BR>J'ai supprimé et réactivé le DNS Cache... En conséquence de quoi deux règles (port 53) se sont spontanément ajoutées au règles du FW. C'était des règles acceptant les connexions depuis le LAN sur le port 53 du firewall. J'ai juste ajouté deux règles autorisant les connexions port 53 depuis le FW sur le WAN. <BR> <BR>Ca a débloqué un peu la situation. <BR> <BR>Cependant, l'erreur se produit toujours, et j'ai constaté dans le log de shorewall : <BR> <BR>Shorewall:FORWARD:REJECT:eth1tcp192.168.0.2-1032216.239.59.104-80SYN <BR> <BR>mais je ne vois quelle règle est appliquée ici ? Ce n'est pas une regle "policy" et ce n'set pas une exception (reject) ??
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
Avatar de l’utilisateur
svart
Vice-Amiral
Vice-Amiral
 
Messages: 853
Inscrit le: 04 Sep 2003 00:00
Localisation: Finistère

Messagepar svart » 26 Sep 2003 10:07

Je vais préciser mon souci : <BR> <BR>Il me semble que le problème peut venir du fait que eth1 est en mode "promiscuous" : il y a une espèce de portscan en provenance de eth1 vers eth1 <BR> <BR>Sep 26 10:01:47 firewall kernel: Shorewall:FORWARD:REJECT:IN=eth1 OUT=eth1 SRC=192.168.0.1 DST=216.239.59.99 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=13122 DF PROTO=TCP SPT=1116 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0 <BR> <BR> <BR>Snort réagit semble-t-il en bloquant tout pendant quelques minutes. Après ça revient. <BR> <BR>Quelqu'un saurait me confirmer ou m'aider ? Je donnerais toute info utile... <BR> <BR>Simon
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
Avatar de l’utilisateur
svart
Vice-Amiral
Vice-Amiral
 
Messages: 853
Inscrit le: 04 Sep 2003 00:00
Localisation: Finistère

Messagepar Jacques- » 26 Sep 2003 10:28

LE mode promiscuité est activé par snort et par prélude pour analyser les paquets. <BR>Le fait d'avoir les 2 actifs en même temps est peut-être bien la cause de tes soucis. <BR> <BR>Essaye de ne mettre qu'un seul à la fois pour vérifier et ensuite tu choisiras celui qui te plait le plus des deux. <BR> <BR>Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00

Messagepar svart » 26 Sep 2003 11:22

J'ai désactivé Snort, qui était à l'origine d'un portscan assez long. <BR> <BR>Le problème se manifeste toujours, pour une durée moins longue puisque le portscan monopolisait (probablement) l'interface eth1. <BR> <BR>Je retrouve à chaque dysconnexion les lignes suivantes dans le journal : <BR> <BR>Sep 26 11:12:43 firewall kernel: Shorewall:FORWARD:REJECT:IN=eth1 OUT=eth1 SRC=192.168.0.x DST=xxx.xxx.xxx.xxx LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=61218 DF PROTO=TCP SPT=1916 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0 <BR> <BR>Sep 26 11:15:00 firewall CROND[2909]: (root) CMD ( /usr/share/msec/promisc_check.sh) <BR>Sep 26 11:15:00 firewall CROND[2912]: (root) CMD ( /usr/sbin/monitoring.pl) <BR> <BR>Mais je ne sais pas à quoi elle correspondent et si je dois en tenir compte. La première est manifestement une règle qui refuse le paquet, mais pourquoi de eth1 vers eth1 ? <BR> <BR>Je suppose qu'il s'agit d'un défaut de config de ma part. <BR> <BR>(PS : merci Jacques, tes interventions sont quasi-divines, j'ai pu mettre à jour la MNF grâce à tes explications sur PersonallMirror <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR> <BR>
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
Avatar de l’utilisateur
svart
Vice-Amiral
Vice-Amiral
 
Messages: 853
Inscrit le: 04 Sep 2003 00:00
Localisation: Finistère

Messagepar svart » 26 Sep 2003 12:22

Please, please help me... <BR> <BR>Est-ce à voir avec Loopback ?
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
Avatar de l’utilisateur
svart
Vice-Amiral
Vice-Amiral
 
Messages: 853
Inscrit le: 04 Sep 2003 00:00
Localisation: Finistère


Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron